Rec'dPCr/PTO 0 7 DEC 2004 .: , 

BUNDEIptEPUBLIKDEUTSiHLAND 






PCT / IB 0 3 / 0 2 0 9 8 



'0 5 JUNE 200.^ 



Prioritatsbescheinigung iiber die Einreichung 
einer Patentanmeldung 



Aktenzeichen: 

Anmeldetag: 

Anmelder/lnhaber: 

Bezeichnung: 

IPC: 



102 25472.9 
10. Juni2002 

Philips Corporate Intellectual Property GmbH, 
Hamburg/DE 

Verfahren und Chipeinheit zum Uberwachen des 
Betriebs einer Mikrocontrolleteinheit 

G 06 F 11/30 



Die angehefteten Stucke sind eine richtige und genaue Wiedergabe der ur- 
sprunglichen Unterlagen dieser Patentanmeldung. 



Munchen, den 20. Marz 2003 
Deutsches Patent- und Markenamt 
Der President 

Im Auftrag 



PRIORITY DOCUMENT 

SUBMITTED OR TRANSMITTED IN 
COMPLIANCE WITH 
RULE 17.1(a) OR (b) 



Wallnsr 



BEST AVAIUABUE COPY 




BESCHREIBUNG 

Verfahren und Chipeinheit zum Oberwachen des Betriebs einer MikrocontroUereinheit 
Technisches Gebiet 

5 Die vorliegende Erfindung betrifft ein Verfahren zum Oberwachen des Betriebs minde- 
stens einer fttr mindestens eine Applikation vorgesehenen, einem System zugeordneten 
MikrocontroUereinheit. 

Die vorliegende Erfindung betrifft des weiteren eine Chipeinheit, insbesondere System- 
10 chipeinheit, zum Oberwachen des Betriebs mindestens einer fiir mindestens eine 
Applikation vorgesehenen MikrocontroUereinheit sowie ein zugeordnetes System, 
insbesondere Steuersystem. 

Stand der Technik 

15 

Bei modernen Steuergeraten, zum Beispiel in der Automobilelektronik, werden 
heutzutage ttblicherweise keine festprogrammierten Mikrocontroller mehr eingesetzt, 
denn durch das fest vorgegebene Programm konnen keine Modifikationen in der 
laufenden Serienproduktion bzw. behn Endkunden mehr vorgenommen werden. 
20 Kraftfahrzeugherstelier gehen daher mehr und mehr dazu uber, sogenannte flachtige 
Speicher oder Flash-Speicher iimerhalb der Mikrocontroller einzusetzen; derartige 
fluchtige Speicher erlauben es, den Programmcode jederzeit zu uberschreiben, was 
sowohl in der Produktion als auch in der Autowerkstatt, etwa im Rahmen einer 
Inspektion, erfolgen kann. 

25 

Als durchaus nachteilig wird bei derartigen Flash-Speichern im Regelfall die Tatsache 
empfimden, dass wShrend der Lebensdauer des Kraftfahrzeugs prinzipiell die Moglich- 
keit eines partiellen oder sogar totalen Programmverlustes besteht und damit die 
eingebrannte Software an beliebiger Stelle absturzen kann. Solche Programmabstiirze 
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konnen nun dazu fuhren, dass ein Steuergerat nicht mehr ordnungsgemaB in einen 
Zustand mit venninderter Stromaufiiahme gebracht werden kann; damit weist ein 
Fahrzeug auch im abgestellten Zustand, das heiBt bei ausgeschalteter Ztindung, 
dauerhaft eine erh5hte Stromaufiiahme auf, die die Fahrzeugbatterie entladt imd damit 
3 im schlimmsten Falle einen Fahrzeugstart unmoglich macht. 

Bedingt durch die serielle Vernetzung samtlicher Steuergerate kann die Tragweite eines 
Fehlers der vorbeschriebenen Art extrem groli werden. Ein defektes Steuergerat mit 
gestSrtem Flash-Speicher kann tiber die Vernetzung permanent das gesamte Kraftfahr- 
10 zeug "aufwecken" imd so zu extremem Stromverbrauch fuhren. Im wesentlichen 
dasseibe Problem besteht auch filr alle anderen, zyklisch auftretenden Fehler, die zu 
einem permanenten Zurflcksetzen des Steuergerats fllhren, wie etwa ein Kurzschluss in 
der Versorgxmg (Unterspannung durch Einschalten eines Verbrauchers , . oder 
dergleichen, 

15 

GemalJ dem Stand der Technik wird nun versucht, das Systemverhalten durch einen 
sogenannten " Watchdog"-Block (konfigurierbarer Timer mit unabhangiger Taktquelle) 
innerhalb des Steuergerats zu erkennen. AUgemein wird unter dem Begriff "Watchdog" 
in diesem Zusammenhang eine Technik verstanden, die der zyklischen Oberwachung 
20 von Geraten, von Verbindungen oder von Software dient. Wenn eine Software nicht 
mehr den geordneten und von der Software vorgesehenen Weg veriToIgt, soil der 
Watchdog den MikrocontroUer zurilcksetzen imd so den geplanten Programmablauf 
wieder herstellen. 

25 Der Watchdog kann aber nicht helfen, wenn es immer wieder an einer beliebigen Stelle 
im Programm zu einem Absturz der Software bzw. zu einem Reset, etwa infolge Unter- 
spannung, kommt, der Watchdog oder der Unterspannungserkenner das Steuergerat 
zurucksetzt und dann zu einem spateren Zeitpunkt wieder an derselben Softwarestelle 
absttirzt bzw. eine Unterspannung verursacht Bs entsteht so eine Bndlosschleife, aus 

30 der das Steuergerat nicht mehr herauskonunt 
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DarsteUung der Erfindung: Aufgabe, Losung, Vorteile 

Ausgehend von den vorstehend dargelegten Nachteilen und UnzulMnglichkeiten sowie 
5 unter Wtirdigung des umrissenen Standes der Technik liegt der vorliegenden Erfindxing 
die Aufgabe zugrunde, ein Verfahren der eingangs genannten Art sowie eine Chipein- 
heit der eingangs genannten Art so weiterzubilden, dass der Betrieb einer fiir eine 
Applikation vorgesehenen, einem seriellen System der vorgenannten Art zugeordneten 
MilcrocontroUereinheit uberwacht wird, so dass ein insbesondere batterieentladender 
10 Fehlbetrieb in zuverlassiger Weise vermieden werden kann. 

Diese Aufgabe wird dui*ch ein Verfahren xnit den im Anspruch 1 angegebenen Merk- 
malen sowie durch eine Chipeinheit mit den im Anspruch 5 angegebenen Merkmalen 
gelOst. Vorteilhafte Ausgestaltungen und zweckmSBige Weiterbildungen der voriiegen- 
1 5 den Erfindung sind in den jeweiiigen Unteranspriichen gekennzeichnet 

Mithin basiert die vorliegende Erfindxmg darauf, dass neben einem Uberwachungs- 
verfahren ein Systemchip mit Fehlerstatistikunterstiitzung bereitgestellt wird. Hierzu 
wird gemaB der Lehre der vorliegenden Erfindung vorgeschlagen, in der Applikation, 
20 insbesondere im Systemchip, mindestens einen nichtfliichtigen Speicherbereich 
vorzusehen, der es der Applikationssoflware erlaubt, eine Fehlerstatistik zu ftihren. 

Dieser Speicherbereich sollte in zweckmafiiger Weise auBerhalb des MikrocontroUers 
angeordnet imd auch imabhSngig versorgt sein, damit auch Kurzschlusse der Versor- 
25 gungsspannung am MikrocontroUer nicht zu einem Verlust der erfassten Statistikdaten 
ftihren. Weiterhin erlaubt ein derartiger unabhangig versorgter Speicherbereich, dass der 
MikrocontroUer zwischenzeitlich einen geplanten Betrieb ohne Stromversorgung nutzen 
kann (sogenannter "sleep mode"), ohne die Statistikdaten zu verlieren. 
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GemaJ3 einer besonders vorteilhaften Weiterbildung der vorliegenden Erfindung wird 
der Schreibzugang zum Speicherbereich nur dann zugelassen, wenn das System nach 
einem Rttcksetzvorgang (= "Resetvorgang") wieder startet; damit kann ausgeschlossen 
werden, dass der Speicherbereich im Betrieb versehentlich etwa durch defekte Software 
5 iiberschrieben wurd. Bin Lesezugang soUte dagegen stets mfiglich sein, urn jederzeit eine 
Systemdiagnose zu ermdglichen. 

In bevorzugter Weise kann beim Verfahren sowle bei der Chipeinheit gemafi der vorlie- 
genden Erfindung die Ursache eines Rticksetzereignisses erfasst und der Mikrocontrol- 
10 lereinheit im Bedarfsfalle zur Verfligung gestellt werden. Auf diese Weise kOnnen 
verschiedene Rttcksetzereignisse erfasst und gesondert behandelt werden. 

Schlagt beispielsweise der Watchdog infolge eines defekten flUchtigen Speichers an, so 
wird dieses Rflcksetzereignis dan MikrocontroUer mitgeteilt, und die Applikations- 
1 5 software speichert diese Information im erfindungsgemafi vorgesehenen nichtflUchtigen 
Speicherbereich ab. Fiir jedes derartige Rticksetzereignis kann die Software diesen 
Fehlerspeicher beispielsweise hoch zahlen und bei Erreichen eines beliebigen ZShler- 
stands entscheiden, nicht mehr normal zu starten, sondem einen fehlersicheren Zustand 
mit geringer Stromaufiiahme anzunehmen. 

20 

GemSB einer besonders erfmderischen Weiterbildung ermaglicht der Einsatz minde- 
stens einer Systemchipeinheit (= sogenannter S[ystem]B[asis]C[hip3), sowohl die 
Spaimungsversorgung der MikrocontroUereinheit als auch den Watchdog und die Reset- 
Hardware mit Unterspamiungserkennung bereitzustellen. 

25 

Innerhalb dieser permanent von der Batterie versorgten Systemchipeinheiten kann auf 
einfache Weise der vorbeschriebene Speicherbereich mittels 
R[andom]A[ccess]M[emory] implementiert werden, denn hier steht permanent 
Spannung zur Verfligung (-> Kostenvorteil gegenaber E[lectrical]E[rasable] 
30 P[rogrammable]R[ead]0[nly]M[emory]), 
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Weiterhin kann im S[ystem]B[asis]C[hip] in vorteilhafler Weise die Erkennung des Reset- 
Ereignisses erfolgen und gespeichert werden, denn dieser S[ystem]B[asis]C[hip] 
ubemimmt selbst die Kontrolle des System-Resets. Damit kann die Systemchipeinheit auch 
5 optimal die Verriegelung der Speicherbits des nichtfltichtigen Speicherbereichs vomehmen, 
denn der S[ystem]B[asis]C[hip] selbst kontroUiert den Systemstart und kann nach 
erfolgreichem Start den Speicherbereich sperren, 

GemalJ der vorliegenden Erfindung stehen dem Anwender alle erforderlichen Kompo- 
10 nenten zur Verfugung, urn ein fehlersicheres System zu entwickeln. Besonders vorteil- 
haft ist die Flexibilitat des vorliegenden Ansatzes, well keine fest vorgegebenen 
Automatismen im S [ystem]B [asis]C[hip] eingebaut warden mtlssen. Das Sicherheits- 
konzept fllr eine Applikation ist so optimal anpassbar und kann vom Anwender in 
beliebiger Weise definiert und/oder in beUebiger Weise skaliert werden. 

15 

Die vorliegende Erfindung betrifift schlieBlich die Verwendung eines Verfahrens gemSfi 
der vorstehend dargelegten Art und/oder mindestens einer Chipeinheit gemaB der vor- 
stehend dargelegten Art zum Uberwachen des Betriebs mindestens einer fiir mindestens 
eine Applikation vorgesehenen MikrocontroUereinheit in der Automobilelektronik, 
20 insbesondere in der Elektronik von Kraftfahrzeugen. 

Kurze Beschreibung der Zeichnungen 

Wie bereits vorstehend erOrtert, gibt es verschiedene MOglichkeiten, die Lehre der 
25 vorliegenden Erfindung in vorteilhafter Weise auszugestalten und weiterzubilden. 
Hierzu wird einerseits auf die den Anspriichen 1 und 5 nachgeordneten AnsprOche 
verwiesen, andererseits werden weitere Ausgestaltungen, Merkmale und Vorteile der 
vorliegenden Erfindung nachstehend anhand der durch Figur 1 veranschaulichten 
exemplarischen Implementierung gemaB einem AusfUhrungsbeispiel nfiher erlautert. 
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Fig. 1 in schematischer Blockdarstellung ein Ausfiihnmgsbeispiel fiir ein System mit 
Chipeinheit und mit MikrocontroUereinheit gemaB der vorliegenden Erfindimg. 

Bester Weg zur Ausftthrung der Erfindung 

In Figur 1 ist schematisch ein Steuersystem 100 dargestellt, das neben einer eine 
Versorgungseinheit 310 (= "supply VDD"), einen Reset 320 sowie ein l[nput]/0[utput]- 
Modul 330 aufweisenden MikrocontroUereinheit 300 eine Systemchipeinheit 200 (= 
sogenannter S[ystem3B[asis]C[hip]) zum Oberwachen des Betriebs der ftir eine 
Applikation vorgesehenen MikrocontroUereinheit 300 aufweist. 

Hierzu weist der Systemchip 200 unter anderem einen nichtfluchtigen Speicherbereich 
10 (= "general purpose memory") auf, mittels dessen eine FehlerstatistUc hinsichtUch 
des Betriebs der MikrocontroUereinheit JOO erstellt und protokoUiert werden kann. 
Dieser Systemchip 200 iSsst den Schreibzugang zu den frei programmierbaren 
Speicherbits der Speichereinheit 10 nur wMhrend des Start des Systems 100 zu, um 
fehlerhafte Schreibzugrifife im Betrieb zu verhindern; hingegen ist der Lesezugang zu 
den frei programmierbaren Speicherbits der Speichereinheit 10 stets erm6glicht. 

Da es der Systemchip 200 erlaubt, verschiedene Rflcksetzereignisse ("Resetereignisse") 
zu unterscheiden und fiir den ApplikationsmikrocontroUer 300 zuganglich zu machen, 
weist der Systemchip 200 eine in bezug auf verschiedene ROcksetzereignisse 
vorgesehene hiformationseinheit 20 (= "reset source information") sowie eine mit der 
MikrocontroUereinheit 300 in Verbindung 42 stehende Riicksetzeinheit 40 (= "system 
reset") auf (--> "Reset" 320 der MikrocontroUereinheit 300). 

Zum Austausch von hiformationen, insbesondere zum Austausch von Fehlerstatistik- 
daten, ist dem Speicherbereich 10 sowie der Informationseinheit 20 eine Schnittstellen- 
einheit 30 (= "interface") vorgeschaltet (~> I[nput]/0[utput]-Modul 330 der Mikro- 
controUereinheit 300). 
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Wie des weiteren aus der Darstellung der Figur 1 hervorgeht, ist dem Speicherbereich 
10 sowie einer mit der MikrocontroUereinheit 300 in Verbindung 52 stehenden Versor- 
gungseinheit 50 (= "microcontroller supply") permanent mindestens eine Batterieeinheit 
5 400 zugeordnet. WMhrend die fiir die Applikation verfUgbaren Speicherbits der Spei- 
chereinheit 10 permanent von der Batterie 400 versorgt sind, kann die Versorgungsein- 
heit 50 tiber einen Schalter 54 an- und ausgeschaltet werden, so dass der Mikro- 
controUereinheit 300 Uber die Versorgungseinheit 50 eine temporare Energieversorgung 
zugeordnet ist (-> "supply VDD" 3 10 der MikrocontroUereinheit 300). 

10 

Zusammenfassend iSsst sich also konstatieren, dass der in Figur 1 gezeigte Systembasis- 
chip 200 zum Erfassen und zum Verfolgen von zyklischen Fehlersituationen innerhalb 
von Steuergeraten (= E[lectronic]C[ontrol]U[nits] = elektronische KontroUeinheiten) 
bestimmt ist, um einen durch derartige zyklische Fehlersituationen bedingten dauerhaft 
1 5 hohen Stromverbrauch des Steuersystems 1 00 zu verhindem. 



Einige kontinuierUch versorgte Speicherbits (= sogenannte "general-purpose bits") einer 
Speichereinheit 10 innerhalb des Systembasischips 200 ermSglichen es nun, vorerwShn- 
te Fehlerereignisse unter Verwendung der Applikationssoftware zu speichem und diese 
statistischen hiformationen verfiigbar zu halten, und zwar bemerkenswerterweise sogar 
dann, wenn der Applikationscontroller 300 infolge Niedrigeneigiebetriebs oder Versa- 
gens (im wesentlichen) ohne Stromversorgung ist 

Ein speziell vorgesehenes ProtokoU oder Register innerhalb des Systembasischips 200 
ermSglicht in diesem Zusammenhang ein DifFerenzieren zwischen den unterschied- 
lichen Fehlerereignissen und somit ein Verfolgen der unterschiedlichen Zyklus- 
probleme. Wird eine benutzerdefmierte Schwelle liberschritten, so kann die AppUkation 
nun erfmdujigsgemaJJ entscheiden, nicht (neu) zu starten, sondem unmittelbar in einen 
Niedrigenergiemodus einzutreten. 
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BEZUGSZEICHRNT TSTF 

100 System, insbesondere Steuersystem 

10 Speicherbereich 

5 20 Informationseinheit 

30 Schnittstelleneinheit 

40 Racksetzeinheit 

42 Verbindung zwischen Riicksetzeinheit 40 und MikrocontroUereinheit 300 

50 Versorgungseinheit 

1 0 52 Verbindung zwischen Versorgungseinheit 50 und MikrocontroUereinheit 300 

54 Schalter der Versorgungseinheit 50 

200 Chipeinheit, insbesondere Systemchipeinheit 

300 MikrocontroUereinheit, insbesondere AppIikationsmikrocontroUer 

3 1 0 Versorgungseinheit der MikrocontroUereinheit 300 

15 320 Reset der MikrocontroUereinheit 300 

330 I[nput]/0[utput]-Modul der MikrocontroUereinheit 300 

400 Batterieeinheit 
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PATENTANSPRUCHE 



1 . Verfahren zum Uberwachen des Betriebs mindestens einer fur mindestens eine 
Applikation vorgesehenen, einem System (100) zugeordneten 
MikrocontroUereinheit (300), 

dadurch gekeimzeichnet 
5 - dass der MikrocontroUereinheit (300) mindestens ein nichtflUchtiger Speicher- 
bereich (10) zugeordnet wird, 

dass der Speicherbereich (10) von der MikrocontroUereinheit (300) ausgelesen 
und/oder beschrieben werden kann und 

dass mittels des Speicherbereichs-(10) mindestens eine Statistik, insbesondere 
10 mindestens eine Fehlerstatistik, hinsichtlich des Betriebs der MikrocontroUer- 

einheit (300) gefiihrt werden kann. 

2. Verfahren gemSfi Anspruch 1 , 
dadurch gekennzeichnet, 

15 dass der Speicherbereich (10) permanent von mindestens einer Batterieeinheit 

(400) versorgt wird. 

3. Verfahren gemafi Anspruch 1 oder 2, 
dadurch gekennzeichnet 

20 - dass in bezug auf den Betrieb der MikrocontroUereinheit (300) verschiedene 
Rucksetzereignisse ("Resetereignisse") unterschieden werden und 
dass diese verschiedenen Riicksetzereignisse der MikrocontroUereinheit (300) 
zugangUch gemacht werden. 




PHDE020140 



Verfahren gemaB mindestens einem der Ansprilche 1 bis 3, 

dadurch gekennzeichnet, 
dass der Speicherbereich (10) 
jederzeit axisgelesen und/oder 

nur nach einem Riicksetzen ("Reset") oder wahrend des Neustartens des Systems 
(100) beschrieben 
warden kann. 

Chipeinheit (200), insbesondere Systemchipeinheit, zum Oberwachen des 
Betriebs mindestens einer fur mindestens eine Applikation vorgesehenen 
MikrocontroUereinheit (300), 
gekennzeichnet durch 

mindestens einen nichtfliichtigen, von der MikrocontroUereinheit (300) 
auslesbaren und/oder beschreibb^en Speicherbereich (10), mittels dessen 
mindestens eine Statistik, insbesondere mindestens eine Fehlerstatistik, 
hinsichtlich des Betriebs der MikrocontroUereinheit (300) erstellbar ist. 

Chipeinheit gemMfi Anspruch 5, 
jgekennzeichnet durch 

mindestens eine in bezug auf verschiedene Rticksetzereignisse ("Resetereig- 
nisse") vorgesehene Informationseinheit (20), 

mindestens eine mit der MikrocontroUereinheit (300) in Verbindung (42) 
stehende Rticksetzeinheit (40) ztim Rvlcksetzen der MikrocontroUereinheit (300) 
sowie 

mindestens eine mit der MikrocontroUereinheit (300) in Verbindimg (52) 
stehende Versorgungseinheit (50). 



PHDE020140 



11 



7. Chipeinheit gemSB Anspruch 6, 
dadurch gekennzeichnet. 

dass dem Speicherbereich (10) und der Versorgungseinheit (50) permanent 
mindestens eine Batterieeinheit (400) zugeordnet ist und 
5 - dass der MikrocontroUereinheit (300) liber die Versorgungseinheit (50) 
mindestens eine temporSre Energieversorgung zugeordnet ist. 

8. Chipeinheit gemSfl mindestens einem der Ansprilche 5 bis 7, 
dadurch gekennzeichnet, 

10 dass dem Speicherbereich (10) und/oder der Informationseinheit (20) mindestens 

eine Schnittstelleneinheit (30) zum Datenaustausch mit der MikrocontroUerein- 
heit (300) vorgeschaltet ist. 

9. System (100), insbesondere Steuersystem, 
15 gekennzeichnet durch 

mindestens eine fur mindestens eine Applikation vorgesehene MikrocontroUer- 
einheit (300) sowie durch mindestens eine Chipeinheit (200) gemSB mindestens 
einem der Ansprtiche 5 bis 8. 

20 10. Verwendung eines Verfahrens gemaB mindestens einem der Ansprtiche 1 bis 4 
und/oder mindestens einer Chipeinheit (200) gemalJ mindestens einem der 
Ansprtiche 5 bis 8 zum Ubemachen des Betriebs mindestens einer fiir 
mindestens eine Applikation vorgesehenen MikrocontroUereinheit (300) in der 
Automobilelektronik, insbesondere in der Elektronik von Kraftfahrzeugen. 
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ZUSAMMENFASSUNG 

Verfahren und Chipeinheit zum Oberwachen des Betriebs einer MikrocontroUereinheit 

Um ein Verfahren sowie eine Chipeinheit (200) zum Oberwachen des Betxiebs minde- 
stens einer flir mindestens eine Applikation vorgesehenen, einem System (100) 
zugeordneten MikrocontroUereinheit (300) so weiterzubilden, dass der Betrieb der 
einem seriellen System zugeordneten MikrocontroUereinheit (300) uberwacht wird, so 
dass ein insbesondere batterieentladender Fehibetrieb in zuverlassiger Weise vermieden 
werden kann, wiird vorgeschlagen, 

dass der MikrocontroUereinheit (300) mindestens ein nichtfliichtiger Speicher- 

bereich (10) zugeordnet wird, 

dass der Speicherbereich (10) von der MikrocontroUereinheit (300) ausgelesen 
und/oder beschrieben werden kann und 

dass mittels des Speicherbereichs (10) mindestens eine Statistik, insbesondere 
mindestens eine Fehlerstatistik, hinsichtUch des Betriebs der 
MikrocontroUereinheit (300) gefiihrt werden kann. 



Fig, 1 
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